Axios维护者Jason Saayman在事后报告中直言,攻击者伪装成知名公司创始人,克隆了对方形象和公司官网。Saayman收到邀请,加入一个高度仿真的Slack工作区。这个空间有公司CI品牌,频道里分享LinkedIn帖子,看起来天衣无缝。攻击者很快安排Microsoft Teams会议。Saayman一加入,就弹出假错误提示,说系统组件过时需要更新。他点下更新,远程访问木马瞬间部署。木马窃取npm账户凭证,攻击者立刻上传两个带WAVESHAPER.V2植入的恶意包。Saayman强调,整个过程协调专业,一切合法得像真的一样。根据Huntress和Kaspersky去年报告,这种手法跟UNC1069和BlueNoroff高度吻合,后者称其为GhostCall。Axios每周下载量达到近1亿次,这个数字直接放大攻击影响,波及JavaScript生态无数依赖链。
Saayman已重置所有设备和凭证,引入不可变发布、OIDC发布流程,还优化GitHub Actions安全。开源维护者成新靶子,过去这些朝鲜团伙瞄准加密创始人、风投和大V,夺权后继续钓鱼链条。安全研究员Taylor Monahan指出,他们现在转向OSS维护者,值得警惕。Socket的Ahmad Nassri说,Axios这么热门的包中招,暴露JavaScript依赖解析的痛点。供应链攻击传播快,直接依赖和间接依赖全中枪。The Hacker News报道显示,类似事件频发,开发者防不胜防。BTC现报$66,803(24h +1.07%),加密市场虽稳,但朝鲜黑客历史战绩让从业者捏把汗,他们专偷钱包和项目资金。
开源社区正反思防护短板。维护者个人负责热门包,资源有限,攻击者钻空子太易。Axios事件敲响警钟,企业用户需扫描依赖,及时拉黑恶意版。npm已移除问题包,但下游影响难清。专家呼吁多签发布、硬件密钥,减少单人风险。朝鲜UNC1069这类团伙资金链长,攻击迭代快,从钓鱼到RAT再到供应链,一气呵成。开发者得醒醒神,别只顾代码,安全意识拉满才行。